可能重复:
你能推荐一个很好的iptables介绍吗?
我将在我的服务器上设置IPTables。 我从来没有做过任何IPTables,想要开始。 你最常用的configuration是什么,或者你的必备品?
在做任何事情之前,我会回顾一下netfilter文档 。 了解数据包如何stream经各种表和链(做出路由决策等)是理解的第一件事。 那么你就会对产品的能力有一个感觉。
就实际情况而言:您应该使用以下方法启动您的INPUT,FORWARD和OUTPUT链,以允许build立连接来评估链上的所有规则,并在进行任何进一步评估之前丢弃明显无效的数据包:
-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -m conntrack --ctstate INVALID -j DROP 这将有助于提高性能,尽pipe您可能没有提供足够的stream量来实现真正的效果。
您应该认真考虑将“filter”表链上的默认策略设置为DROP,并devise您的规则以明确允许stream量通过,而不是尝试阻止stream量。
Ubuntu上简单防火墙的首选接口是ufw 。 您可以先使用它,然后逐渐转向手写iptables规则,以满足您的需求。 命令iptables-save以接近一系列iptables命令的格式转储当前的iptables状态,以重新创build它。
iptables的Ubuntu wiki页面是文档的一个很好的起点。